Приложение N 2. Регламент выявления инцидентов информационной безопасности и реагирования на них в администрации Батыревского района. Постановление Администрации Батыревского района Чувашской Республики от 25.01.2017 N 31 "О регламенте выявления инцидентов информационной безопасности и реагирования на них в администрации Батыревского района" (с изменениями и дополнениями)

Приложение N 2
к постановлению администрации
Батыревского района
от 25 января 2016 г. N 31

ГАРАНТ:

По-видимому, в тексте названия приложения допущена опечатка. Дату названного постановления следует читать как "от 25 января 2017 г."

Регламент
выявления инцидентов информационной безопасности и реагирования на них в администрации Батыревского района

ГАРАНТ:

Нумерация разделов приводится в соответствии с источником

VI. Общие положения

6.1. Настоящий Регламент устанавливает порядок действий по управлению инцидентами информационной безопасности в администрации Батыревского района (далее - Администрация).

6.2. Под инцидентом информационной безопасности понимается любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность.

6.3. Примерный перечень инцидентов информационной безопасности приведен в приложении N 1 к настоящему Регламенту.

VII. Порядок выявления инцидентов информационной безопасности

7.1. В качестве источников информации об инцидентах информационной безопасности (далее - инцидент) могут использоваться:

электронные журналы и оповещения системного и прикладного программного обеспечения информационных систем Администрации (далее - ИС);

электронные журналы и оповещения системы защиты информации (далее - СЗИ);

оповещения средств обнаружения вторжений;

информация, получаемая от сотрудников;

информация, полученная на основе анализа защищенности ИС и контроля эффективности СЗИ.

7.2. В информационных системах Администрации в обязательном порядке должны регистрироваться следующие события безопасности:

попытки входа (выхода) пользователей в операционную систему (из операционной системы);

загрузка и инициализация операционной системы и ее программного останова для рабочих станций и серверов;

попытка доступа к средствам виртуализации;

факт изменения конфигурации средств виртуализации;

запуск и остановка служб (системных сервисов) средств виртуализации;

попытки подключения к серверам и рабочим станциям по информационно-телекоммуникационной сети;

попытки подключения к серверам и рабочим станциям мобильных устройств и внешних носителей информации.

7.3. В параметрах регистрации событий безопасности в обязательном порядке должны указываться следующие параметры:

тип события;

дата и время события;

результат события;

источник события;

идентифицирующие сведения (сетевой адрес, данные учетной записи, сетевое имя компьютера, и т.п.).

7.4. Хранение электронных журналов регистрации и учета событий безопасности операционных систем, систем управления базами данных, системного и прикладного программного обеспечения, средств защиты информации, а также специализированных средств анализа защищенности информационных систем должно осуществляться в течение срока, достаточного для проведения анализа инцидента, но не менее 3 месяцев.

7.5. Хранение электронных журналов регистрации и учета событий безопасности должно осуществляться сотрудником, ответственным за обеспечение безопасности защищаемой информации, с учетом требований обеспечения конфиденциальности и целостности электронных журналов.

7.6. Учет инцидентов осуществляется сотрудником, ответственным за выявления инцидентов информационной безопасности и реагирования на них в Администрации (далее - Ответственный за управление инцидентами), в соответствии с формой журнала учета инцидентов информационной безопасности в администрации Батыревского района, приведенной в приложении N 2 к настоящему Регламенту.

VIII. Порядок реагирования на инциденты информационной безопасности

8.1. При обнаружении инцидента или предпосылок для возникновения инцидента сотрудник, ответственный за выявления инцидентов информационной безопасности и реагирование на них в Администрации (далее - Ответственный за управление инцидентами), в целях выявления факта или предпосылки негативного воздействия на защищаемую информацию, не содержащую сведения, составляющие государственную тайну (далее - защищаемая информация), осуществляет анализ инцидента и его классификацию в соответствии с приложением N 1 к настоящему Регламенту.

8.2. В ходе анализа инцидента определяются:

категория инцидента;

факт или потенциальная возможность реализации угрозы безопасности защищаемой информации (далее - угрозы);

опасность угрозы;

области, перечни информационных ресурсов, затрагиваемые воздействием угрозы;

потенциальные нарушители, цели и причины реализации угрозы;

предварительный перечень мер по локализации и остановке распространения действия угрозы.

8.3. Принятие мер по локализации инцидентов категории 1, реализация корректирующих и превентивных мероприятий осуществляется сотрудником, ответственным за обеспечение безопасности защищаемой информации на основании предложений Ответственного за управление инцидентами и по согласованию с ответственным за организацию обработки защищаемой информации, не содержащей сведения, составляющие государственную тайну, в Администрации Батыревского района (далее - Ответственный за организацию обработки защищаемой информации).

8.4. В случае, если зафиксированный инцидент относится к категории 2 или категории 3, Ответственный за управление инцидентами обязан незамедлительно оповестить сотрудника, ответственного за обеспечение безопасности защищаемой информации и ответственного за организацию обработки защищаемой информации, не содержащей сведения, составляющие государственную тайну, в администрации Батыревского района (далее - Ответственный за организацию обработки защищаемой информации).

8.5. Ответственный за управление инцидентами исходя из анализа инцидента составляет предложения по локализации инцидента и реализации корректирующих и превентивных мероприятий, согласованные с ответственным за обеспечение безопасности защищаемой информации, и представляет их Ответственному за организацию обработки защищаемой информации.

8.6. Ответственный за организацию обработки защищаемой информации рассматривает данные предложения и организует выполнение работ по реализации локализации инцидента, корректирующих и превентивных мероприятий, направленных на направленных на устранение причин и последствий инцидентов и на предотвращение подобных нарушений в дальнейшем.

8.7. Ответственный за управление инцидентами предоставляет Ответственному за организацию обработки защищаемой информации информацию о ходе и результатах реагирования на инцидент.

8.8. Контроль за своевременным и качественным выполнением работ по реагирования на инциденты осуществляет Ответственный за организацию обработки защищаемой информации.